הגדרת אבטחה לקבצים שמצורפים לרשת

בדף הזה מוסבר איך מנהלי רשתות של צרכנים יכולים לנהל את האבטחה ברשתות VPC שמשתמשות בצירופי רשת.

ממשקי Private Service Connect נוצרים ומנוהלים על ידי ארגון שמספק שירות, אבל הם ממוקמים ברשת VPC של צרכן. לגבי אבטחה בצד הצרכן, מומלץ להשתמש בכללי חומת אש שמבוססים על טווחי כתובות IP מרשת ה-VPC של הצרכן. הגישה הזו מאפשרת לצרכן לשלוט בתנועה שמגיעה מממשקי Private Service Connect בלי להסתמך על תגי הרשת של הספק.

יש תמיכה בשימוש בתגי רשת עם כללי חומת אש, אבל לא מומלץ להשתמש בהם כי הצרכן לא שולט בתגים האלה.

הגבלת תעבורת כניסה (ingress) מצרכן ליצרן

באיור 1 מוצגת דוגמה להגדרה שבה הצרכן רוצה לתת ליצרן גישה ל-producer-ingress-subnet ולחסום את הגישה של היצרן ל-restricted-subnet.

איור 1. כללי חומת אש עוזרים לוודא שתעבורת נתונים מתת-הרשת של היצרן יכולה להגיע רק למכונות וירטואליות בתת-הרשתות attachment-subnet ו-producer-ingress-subnet.

כללי חומת האש הבאים מאפשרים תעבורת נתונים נכנסת (ingress) מוגבלת מפיקים לצרכנים:

  1. כלל בעדיפות נמוכה דוחה את כל תעבורת היציאה מטווח כתובות ה-IP של רשת המשנה של קובץ הרשת המצורף, attachment-subnet.

    gcloud compute firewall-rules create deny-all-egress \
    --network=consumer-vpc \
    --action=DENY \
    --rules=ALL \
    --direction=EGRESS \
    --priority=65534 \
    --source-ranges="10.0.1.48/28" \
    --destination-ranges="0.0.0.0/0"

  2. כלל עם עדיפות גבוהה יותר מאפשר יציאה מטווח כתובות ה-IP של attachment-subnet ליעדים בטווח הכתובות של producer-ingress-subnet.

    gcloud compute firewall-rules create allow-limited-egress \
    --network=consumer-vpc \
    --action=ALLOW \
    --rules=ALL \
    --direction=EGRESS \
    --priority=1000 \
    --source-ranges="10.0.1.48/28" \
    --destination-ranges="10.10.2.0/24"

  3. כלל שמאשר תעבורת נתונים נכנסת (ingress) מבטל את כלל הדחייה המשתמע של תעבורת נתונים נכנסת (ingress) מתעבורה מ-attachment-subnet.

    gcloud compute firewall-rules create allow-ingress \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=INGRESS \
--priority=1000 \
--source-ranges="10.0.1.48/28"

התרת יציאה של נתונים מצרכן ליצרן

אם רוצים לאפשר לרשת צרכנית ליזום תעבורה לרשת יצרנית, אפשר להשתמש בכללים של חומת אש לכניסה.

בדוגמה של ההגדרה באיור 2, הצרכן רוצה לאפשר ל-subnet-1 לגשת לרשת של הספק דרך חיבור Private Service Connect.

איור 2. כלל חומת אש שמאפשר תעבורת נתונים נכנסת (ingress) מאפשר ל-subnet-1 לגשת לרשת של בעל השירות דרך חיבור Private Service Connect, בעוד ש-subnet-2 נחסם על ידי כלל חומת האש המשתמע שחוסם תעבורת נתונים נכנסת (ingress) (אפשר ללחוץ כדי להגדיל).

כלל חומת האש הבא מבטיח שרק subnet-1 יוכל לגשת לרשת של בעל השירות דרך חיבור Private Service Connect:

gcloud compute firewall-rules create vm-subnet-allow-ingress \
    --network=consumer-vpc \
    --action=ALLOW \
    --rules=ALL \
    --direction=INGRESS \
    --priority=1000 \
    --source-ranges="10.10.2.0/24" \
    --destination-ranges="10.0.1.48/28"

הגדרת אבטחה בין יצרנים

אתם יכולים להשתמש בכללי חומת אש של VPC כדי לאבטח תרחישים שבהם אפליקציית יצרן צריכה לגשת לאפליקציית יצרן אחרת.

נניח שצרכן משתמש בשני שירותים שונים מנוהלים של צד שלישי, שמארחים ברשתות VPC שונות. שירות אחד הוא מסד נתונים, והשירות השני מספק ניתוח נתונים. שירות הניתוח צריך להתחבר לשירות מסד הנתונים כדי לנתח את הנתונים שלו. אחת הגישות היא שהשירותים יוצרים חיבור ישיר. עם זאת, אם שני שירותי הצד השלישי מחוברים ישירות, הצרכן מאבד את השליטה בנתונים שלו ואת היכולת לראות אותם.

גישה מאובטחת יותר היא שימוש בממשקי Private Service Connect, בנקודות קצה של Private Service Connect ובכללי חומת אש של VPC, כמו שמוצג באיור 3.

איור 3. התנועה מאפליקציית הניתוח שמיועדת לאפליקציית מסד הנתונים עוברת דרך רשת ה-VPC של הצרכן. כללי חומת האש של VPC מגבילים את תעבורת היציאה על סמך טווח כתובות ה-IP של המקור (לחצו להגדלה).

בגישה הזו, רשת הצרכנים מתחברת לאפליקציית מסד הנתונים דרך נקודת קצה ברשת משנה אחת, ומתחברת לאפליקציית הניתוח דרך קובץ מצורף לרשת ברשת משנה אחרת. תעבורת הנתונים מאפליקציית הניתוח יכולה להגיע לאפליקציית מסד הנתונים דרך הממשק והקובץ המצורף של Private Service Connect, לעבור דרך רשת הצרכן ולצאת דרך נקודת הקצה ב-endpoint-subnet.

ברשת ה-VPC של הצרכן, כלל חומת אש ב-VPC דוחה את כל תעבורת הנתונים היוצאת מ-attachment-subnet. כלל חומת אש אחר עם עדיפות גבוהה יותר מאפשר תעבורת יציאה מ-attachment-subnet ומ-consumer-private-subnet לנקודת הקצה. כתוצאה מכך, התנועה מאפליקציית הניתוח יכולה להגיע לרשת ה-VPC של אפליקציית מסד הנתונים, והתנועה הזו חייבת לעבור דרך נקודת הקצה בצרכן.

כללי חומת האש הבאים יוצרים את ההגדרה שמתוארת באיור 4.

  1. כלל חומת אש חוסם את כל התעבורה היוצאת מ-attachment-subnet:

    gcloud compute firewall-rules create consumer-deny-all-egress \
    --network=consumer-vpc \
    --action=DENY \
    --rules=all \
    --direction=EGRESS \
    --priority=65534 \
    --source-ranges="10.0.1.48/28" \
    --destination-ranges="0.0.0.0/0"

  2. כלל חומת אש שמאפשר תעבורת נתוני TCP יוצאת ביציאה 80 מ-attachment-subnet ומ-consumer-private-subnet לנקודת הקצה:

    gcloud compute firewall-rules create consumer-allow-80-egress \
    --network=intf-consumer-vpc \
    --allow=tcp:80 \
    --direction=EGRESS \
    --source-ranges="10.0.1.48/28,10.10.2.0/24" \
    --destination-ranges="10.0.1.66/32" \
    --priority=1000